0
0
As informações que são deidentificadas não são mais consideradas “informações pessoais” de acordo com a Lei de Privacidade do Consumidor da Califórnia (CCPA). O CCPA define “informação deidentificada” como:
“informações que não podem ser razoavelmente identificadas, relacionadas, descrever, capazes de estar associadas ou serem vinculadas, direta ou indiretamente, a um consumidor em particular, desde que uma empresa que use informações deidentificadas:
(1) Implementou salvaguardas técnicas que proíbem a reidentificação do consumidor a quem a informação pode pertencer.
(2) Implementou processos de negócios que proíbem especificamente a reidentificação das informações.
(3) Implementou processos de negócios para impedir a liberação inadvertida de informações deidentificadas.
(4) Não faz nenhuma tentativa de reidentificar a informação “
Mas o que isso significa na prática? Voltamo-nos para os reguladores de proteção de dados da UE para algumas percepções:
- Para anonimizar quaisquer dados, os dados devem ser desprovidos de elementos suficientes para que o assunto dos dados não possa mais ser identificado.
- Um fator importante é que o processamento deve ser irreversível. O foco está no resultado: os dados devem ser tais que não permitam que o assunto dos dados seja identificado por meio de “todos” os meios “prováveis” e “razoáveis”.
“Todos os meios razoavelmente propensos a serem usados”
- Para determinar se uma pessoa singular é identificável, você deve levar em conta todos os meios razoavelmente prováveis de serem usados, como destacar, seja pelo responsável pelo tratamento de dados ou por outra pessoa para identificar a pessoa física direta ou indiretamente. (Parecer do Grupo de Trabalho sobre a anonimização Art. 29 – WP216)
- Uma mera possibilidade hipotética ou insignificante de destacar o indivíduo não é suficiente para considerar a pessoa como “identificável
- Meios razoáveis incluem quando uma organização pode recorrer a uma autoridade, que por sua vez pode solicitar um controlador para fornecer informações (por exemplo, no caso de endereços IP onde o órgão responsável pode recorrer a uma autoridade, que por sua vez pode solicitar o provedor de acesso para atribuir o endereço IP atribuído dinamicamente a um detentor de uma conexão (ver o artigo 29 do Working Party Opinion on Personal Data – WP136)
Inclua todos os fatores objetivos
Para verificar se os meios são razoavelmente prováveis de serem usados para identificar a pessoa física, leve em consideração todos os fatores objetivos, tais como os custos e o tempo necessário para a identificação, levando em consideração a tecnologia disponível no momento do processamento e desenvolvimentos tecnológicos. ”(considerando 26, GDPR)
Ao fazê-lo, considere:
- o objetivo pretendido
- a maneira como o processamento é estruturado
- a vantagem esperada pelo controlador
- os interesses em jogo para os indivíduos
- o risco de disfunções organizacionais (por exemplo, violações de deveres de confidencialidade) e falhas técnicas. Em certas circunstâncias, pode ser apropriado incluir os riscos de um hack externo, a probabilidade de alguém dentro da organização do remetente – apesar de seu sigilo profissional – fornecer a chave e a viabilidade da identificação indireta (ver Exemplo 17, WP136).
- a crescente disponibilidade de baixo custo de meios técnicos para identificar indivíduos em conjuntos de dados
- a crescente disponibilidade pública de outros conjuntos de dados (como aqueles disponibilizados em conexão com as políticas de ‘Dados abertos’)
- os muitos exemplos de anonimização incompleta que implicam subsequentes efeitos adversos, por vezes irreparáveis, sobre os titulares de dados
- o estado da arte em tecnologia no momento do processamento e as possibilidades de desenvolvimento durante o período para o qual os dados serão processados. Por exemplo: Se os dados devem ser armazenados por um mês, a identificação pode não ser antecipada como possível durante a “vida útil” das informações e elas não devem ser consideradas como dados pessoais. No entanto, eles devem ser mantidos por 10 anos, o controlador deve considerar a possibilidade de identificação que pode ocorrer também no nono ano de vida.
Soluções eficazes de anonimização:
Uma solução de anonimização eficaz impede que todas as partes isolem um indivíduo em um conjunto de dados, vinculando dois registros em um conjunto de dados (ou entre dois conjuntos de dados separados) e inferindo qualquer informação nesse conjunto de dados (WP216).
- Singling out = a possibilidade de isolar alguns ou todos os registros que identificam um indivíduo no conjunto de dados.
- Linkability = que é a capacidade de ligar, pelo menos, dois registos relativos ao mesmo titular de dados ou a um grupo de titulares de dados (na mesma base de dados ou em duas bases de dados diferentes). Por exemplo – Se um invasor puder estabelecer (por exemplo, por meio de análise de correlação) que dois registros são atribuídos a um mesmo grupo de indivíduos, mas não podem individualizar indivíduos nesse grupo, a técnica oferece resistência contra “destacar”, mas não contra vinculação.
- Inferência = a possibilidade de deduzir, com probabilidade significativa, o valor de um atributo dos valores de um conjunto de outros atributos.
- De um modo geral – remover elementos de identificação direta em si não é suficiente para garantir que a identificação do titular dos dados não seja mais possível. Muitas vezes, será necessário adotar medidas adicionais para impedir a identificação, mais uma vez dependendo do contexto e dos propósitos do processamento para o qual os dados anônimos são destinados
Teste de intruso motivado:
Como parte da avaliação de risco de re-identificação, a OIC do Reino Unido recomenda, em seu Código de Conduta para Anonimização, usar um teste de “intruso motivado”: um intruso conseguiria re-identificar a informação se ela estivesse tão motivada? Assuma o intruso:
- é uma pessoa que começa sem nenhum conhecimento prévio, mas que deseja identificar o indivíduo de cujos dados pessoais os dados anônimos foram derivados
- é razoavelmente competente
- tem acesso a recursos como a internet, bibliotecas e todos os documentos públicos
- empregaria técnicas de investigação, como fazer perguntas a pessoas que possam ter conhecimento adicional da identidade do titular dos dados ou anunciar para qualquer pessoa que tenha informações para se apresentar
- não tem necessariamente qualquer conhecimento especializado, como habilidades de hackers de computador,
- não tem necessariamente acesso a equipamentos especializados ou a recorrer à criminalidade, como roubo, para obter acesso a dados que são mantidos em segurança.
Adote uma Estrutura de Governança de Deidentificação:
No que pode ser um guia útil para os requisitos do CCPA para processos técnicos e organizacionais que proíbem e impedem a reidentificação, a OIC sugere as seguintes etapas:
- Indique uma pessoa responsável por autorizar e supervisionar o processo de anonimização. (por exemplo, “Proprietário sênior do risco de informações”).
- Treinar o pessoal: o pessoal deve ter uma compreensão clara das técnicas de anonimização, dos riscos envolvidos e dos meios de mitigar os riscos; e seus papéis específicos em garantir o anonimato estão sendo feitos com segurança.
- Desenvolver procedimentos para identificar casos em que a anonimização pode ser problemática ou difícil de conseguir na prática. Estes podem ser casos em que é difícil avaliar o risco de reidentificação ou onde o risco para os indivíduos pode ser significativo. Documente o processo de tomada de decisão.
- Adotar um processo de gestão do conhecimento referente a qualquer nova orientação ou jurisprudência que esclareça o arcabouço legal que envolve a anonimização. Por exemplo. aderir à rede de anonimização do Reino Unido (https://ukanon.net/)
- Desenvolver uma abordagem conjunta com outras organizações do seu setor ou com trabalhos similares para avaliar os riscos
- Seja transparente: sua política de privacidade deve explicar sua abordagem ao anonimato da forma mais clara possível e quaisquer conseqüências disso. Em particular, você deve:
- § explicar por que você anonimiza os dados pessoais dos indivíduos e descreve em termos gerais as técnicas que serão usadas para fazer isso;
§ Divulgar a técnica de anonimização / mistura de técnicas sendo implementadas, especialmente se você planeja lançar o conjunto de dados anonimizado.
§ deixar claro se os indivíduos têm uma opção sobre a anonimização de seus dados pessoais e, em caso afirmativo, como exercê-los – incluindo o fornecimento de detalhes de contato relevantes
§ diga quais são as salvaguardas para minimizar o risco que pode estar associado à produção de dados anônimos. Em particular, deve explicar se os dados anónimos serão disponibilizados publicamente ou apenas divulgados a um número limitado de destinatários.
§ ser aberto com o público sobre quaisquer riscos de anonimização que você está realizando – e as possíveis conseqüências disso
§ descrever publicamente o processo de raciocínio em relação à publicação de dados anônimos, explicando como você fez a “pesagem”, quais fatores você levou em conta ou não e por que, como você olhou para a identificação “na rodada”.
- Revise as conseqüências de seu programa de anonimização, particularmente por meio da análise de qualquer feedback que você receba sobre isso.
- Reavalie os riscos de re-identificação periodicamente (consulte as orientações do Ireland Data Protection Commission sobre anonimização). Considere o teste de reidentificação – um tipo de teste de “penetração” ou “pen” – para detectar e lidar com vulnerabilidades de reidentificação.
- Recuperação de desastres: seus procedimentos de governança também devem abordar o que você fará se a reidentificação ocorrer e a privacidade dos indivíduos for comprometida.
As informações contidas neste artigo destinam-se apenas para fins de informação geral e não constitui aconselhamento jurídico. Você não deve agir ou confiar nas informações contidas neste artigo sem primeiro procurar o conselho de um advogado.
AUTOR(A): Odia Kagan, CDPO, CIPP-E, CIPP-US, CIPM, FIPPartner, Chair of GDPR Compliance and International Privacy at Fox Rothschild LLP
FONTE: https://www.linkedin.com/pulse/deidentification-ccpa-style-what-can-learn-from-gdpr-odia/